Wspólny węzeł czyszczący w kontekście organizacyjnym i kosztowym PKP Informatyka spółka z o.o. Al. Jerozolimskie 140 02-305 Warszawa Wspólny węzeł czyszczący w kontekście organizacyjnym i kosztowym Warszawa, październik 2017
Statystyki
Kluczowe trendy Złośliwe oprogramowanie (malware) Ilość nowych próbek złośliwego oprogramowania zwiększa się od 4 kwartałów. Ilość nowych próbek w drugim kwartale jest drugą największą w historii. Ilość wszystkich próbek w McAfee Labs obecnie przekracza 600 milionów. W ostatnim roku ilość próbek zwiększyła się o 32%.
Kluczowe trendy Wymuszanie okupu po zaszyfrowaniu danych (ransomware) Przyrost nowych próbek ransomware zwiększa się. W ostatnim roku ilość próbek zwiększyła się o 128%.
CyberAtaki Ataki na infrastrukturę sektora energetycznego to fakt (cel: destabilizacja funkcjonowania, infiltracja) Niemcy kwiecień 2016 – Grupa RWE - malware Conficker w niezabezpieczonym systemie komputerowym do wizualizacji danych związanych z urządzeniami do przemieszczania prętów paliwowych w elektrowni atomowej RWE Ukraina grudzień 2015 – atak cybernetyczny na 2 ukraińskie spółki energetyczne (przerwanie dostawy energii) – black.energy 10 krajów (Polska) 2013/2014 Grupa Dragonfly infekuje komputery w spółkach z sektora energetycznego (producenci rozwiązań, producenci i dostawcy energii) wykradając poufne dane, infekując oprogramowanie i uzyskując zdalny dostęp do systemów sterowania
Główne zadania dla Państw Członkowskich wynikające z Dyrektywy NIS Przygotowanie listy "operatorów usług kluczowych”, tj. podmiotów działających w kluczowych sektorach gospodarki, takich jak energetyka, transport, ochrona zdrowia, bankowość i zaopatrzenie w wodę pitną; istotą wyboru jest świadczenie usług, które mają kluczowe znaczenie dla "utrzymania krytycznej działalności społecznej lub gospodarczej", a incydenty w dziedzinie bezpieczeństwo sieci miałyby "istotny skutek zakłócający dla świadczenia tej usługi„ Zapewnienie, aby operatorzy usług kluczowych podejmowali odpowiednie i proporcjonalne środki techniczne i organizacyjne zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia usług kluczowych, z myślą o zapewnieniu ciągłości tych usług Ustanawianie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów dla operatorów usług kluczowych i dostawców usług cyfrowych Udział w sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (zwaną dalej „siecią CSIRT- Computer Security Incident Response Team”), odpowiedzialnych za postępowanie w odniesieniu do ryzyk i w przypadku incydentu, zgodnie z jasno określoną procedurą, z kluczowymi zadaniami: monitorowania incydentów na poziomie krajowym i reagowanie na nie przekazywanie zainteresowanym stronom wczesnych ostrzeżeń, ogłaszanie alarmów, wydawanie ogłoszeń i przekazywanie informacji skierowanych do zainteresowanych stron
Cele Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 Zwiększenie poziomu bezpieczeństwa infrastruktury teleinformatycznej Państwa; Zwiększenie zdolności do zapobiegania i zwalczania zagrożeń ze strony cyberprzestrzeni; Zmniejszenie skutków incydentów godzących w bezpieczeństwo cyberprzestrzeni; Określenie kompetencji podmiotów odpowiedzialnych za bezpieczeństwo cyberprzestrzeni; Stworzenie i realizacja spójnego dla wszystkich podmiotów administracji rządowej systemu zarządzania bezpieczeństwem cyberprzestrzeni oraz ustanowienie wytycznych w tym zakresie dla podmiotów niepublicznych; Stworzenie trwałego systemu koordynacji i wymiany informacji pomiędzy podmiotami odpowiedzialnymi za bezpieczeństwo cyberprzestrzeni oraz użytkownikami cyberprzestrzeni; Zwiększenie świadomości użytkowników cyberprzestrzeni w zakresie metod i środków bezpieczeństwa w cyberprzestrzeni.
Obszary transportu kolejowego zależne od poziomu cyberbezpieczeństwa Elementy infrastruktury krytycznej Komputerowe urządzenia sterowania ruchem kolejowym w PKP PLK S.A. (z raportu UTK z 15.10.2013 r): Komputerowe systemy srk zainstalowane są w 112 okręgach nastawczych i sterują 2807 zwrotnicami i 3359 sygnalizatorami. Urządzenia zdalnego sterowania obejmują 977,474 km linii kolejowych i 87 stacji, na których bezpieczne kursowanie pociągów nadzoruje 26 centrów zdalnego sterowania ruchem. W komputerowe samoczynne urządzenia zabezpieczenia ruchu na przejazdach kolejowych wyposażone są 720 skrzyżowania linii kolejowych z drogami publicznymi. Ciągłość działania usług Grupy PKP wspieranej systemami IT Rezerwacja i sprzedaż biletów w ruchu pasażerskim Wsparcie zarzadzania taborem i ruchem towarowym Utrzymanie infrastruktury informatycznej pod potrzeby świadczenia usług w Grupie PKP
BRAK SPÓJNEGO PODEJŚCIA DO ZARZĄDZANIA SYTUACJAMI KRYZYSOWYMI Ryzyka dla Grupy PKP BRAK SZYBKIEJ INFORMACJI NA TEMAT INCYDENTÓW W OBSZARZE IT, W TYM W OBSZARZE BEZPIECZEŃSTWA BRAK SPÓJNEGO PODEJŚCIA GRUPY PKP DO ZARZĄDZANIA INCYDENTAMI BEZPIECZEŃSTWA IT BRAK SPÓJNEGO PODEJŚCIA DO ZARZĄDZANIA SYTUACJAMI KRYZYSOWYMI BRAK SPÓJNEJ WIEDZY KIEROWNICTWA GRUPY PKP NA TEMAT FUNKCJONOWANIA STRATEGICZNYCH ZASOBÓW IT
Oczekiwania biznesu i bezpieczeństwa Czas przeprowadzenia ataku Miesiące Czas wykrycia ataku Hours Godziny Czas usunięcia zagrożęnia Minuty Znaczący wysiłek Zoptymalizowany zespół bezpieczeństwa Minimalny impakt finansowy $
Styk z Internetem wczoraj i dziś Ochrona „na wczoraj” Ochrona „na dziś” Firewall, IPS, AntyWirus, Brama SSL + Silna autentykacja Elementy DLP Anty DDoS Nagrywanie sesji zdalnych Web Aplication Firewall Anty-Malware Web Gateway/ E-mail Gateway SandBox - AntyAPT Integracja z SIEM LoadBalancing Enkrypcja ruchu SSL DNS Security … Firewall Brama SSL IPS/ IDS, AntyWirus Lista nowych systemów, których potrzebujemy wciąż rośnie
Cyberbezpieczeństwo samodzielnie Zalety Wady Duży poziom złożoności technicznej i organizacyjnej Potrzeba utrzymywania specjalistycznych zespołów Duże koszty Potrzeba stałego doskonalenia technik ochrony Potrzeba prowadzenia samokontroli poziomu bezpieczeństwa Potrzeba nadążania za zmieniającymi się zagrożeniami Ograniczenia w wymiarowaniu wydajności i pojemności systemów Zachowanie poufności o poziomie bezpieczeństwa Samodzielność w ochronie własnej organizacji Tradycyjne poczucie bezpieczeństwa Gwarancja dostępności zasobów Bezpieczeństwo konfiguracji W tym modelu dobrze funkcjonują podmioty o rozbudowanych operacjach IT i odpowiednich budżetach
Nagrywan ie sesji zdalnych Cyberbezpieczeństwo samodzielnie Dedykowany styk z Internetem Malware DDoS ZDALNY DOSTĘP APT SSL VPN Strong Auth Unauthorized access INTERNET SIEĆ LAN Integracja z SIEM Load Balancing Sandbox APT Web Gateway Firewall / NGFW AntyDDoS ZAGROŻENIA Integracja z DLP WAF Enkrypcja SSL E-mail Gateway DNS Security Nagrywan ie sesji zdalnych
1 2 3 4 A co daje wspólny węzeł ? Zaufanie Usługa dostarczona przez specjalistyczne zaufane podmioty 2 Opłata za użycie Dedykowane urządzenia współdzielone w zamkniętej grupie zaufanych użytkowników Stały budżet na rozwój i odnawianie infrastruktury 3 Dobre praktyki oraz zgodność z normami i wymogami prawa Zmniejszenie liczby dodatkowych prac formalnych w każdej organizacji Wypracowane kanały komunikacyjne w Systemie Ochrony Cyberprzestrzeni RP 4 Optymalizacja kosztów Koszty modernizacji dzielone na wielu uczestników i płatne jako abonament Stworzenie dedykowanej chmury usług cyberbezpieczeństwa może być optymalnym wariantem podniesienia poziomu bezpieczeństwa sieci LAN wielu spółek sektora transportowego